Winkog.exe & Winkmh.exe: hardnekkige virussen?

[anoniem]

M'n moeder kreeg een e-mailtje van iemand, met de titel: Preken die Spreken. Daarbij zat een html-bestandje van de website van Preken die Spreken en een 'geluidsbestandje' Spreken.pif[1]. Mijn moeder wilde die openen, maar ik zei dat je 'm dan eerst moest hernoemene naar Spreken.pif, wat ik dan wel even voor haar deed. Na het openen begon de harde schijf te ratelen en te pruttelen, evenzo begon de modemledjes hardnekkiger dan ooit te knipperen... Afijn, computer opnieuw opgestart, kon niet meer internetten en de harde schijf ratelde constant. Scandisk startte steeds overnieuw, waarschijnlijk omdat er steeds veranderingen werden aangebracht op de harde schijf (?). Als je op ctrl+alt+del drukte, zat er een vreemd iets in het rijtje, iets van l2du64MA, iets in die trant. Het varieerde ook nog eens als je Win98 opnieuw opstartte. Bij MSCONFIG stond er dat er Winkog.exe in de system-directory opgestart moest worden. Die heb ik weggevinkt, bestandje gedelete (onzichtbaar btw) en opnieuw opgestart. Maar het bestandje was er gewoon weer. Weer zelfde procedure, en nu stond er Winkmh.exe in de system-directory opstarten. Ook gedelete. Kwam gewoon weer terug. Win98 opnieuw geïnstalleerd, maar nog steeds geen internet. Internet Explorer 5 opnieuw geinstalleerd, verbindingen verwijderd en alles weer opnieuw geconfigureerd, en nu doet hij het weer. Maar waren het nou virussen? Spreken.pif lijkt me dan wel een goed verborgen virus, inclusief een bestaande kerkelijke website. Zou het soms een bestandje van iemands harde schijf hebben weggeplukt, zichzelf naar dat bestandje hebben vernoemd en daarna zichzelf hebben verstuurd? Ik stond er wel even van te kijken anders...

[anoniem]

.pif is een shortcut naar een dos-executable. Bestanden met zo'n extensie moet je nooit of te nimmer openen, da's net zo link als een exe. Geen virusscanner aanwezig overigens? Die zou nl. meteen alarm moeten slaan, dit is waarschijnlijk de Klez-worm. Zie hier voor meer info en een verwijderprogramma: http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.gen@mm.html En over "preken" gesproken, doe eens een Windows update. De worm maakt gebruik van (alweer) een veiligheidslek in OE/IE, er is al tijden een patch beschikbaar om het lek te dichten.

[anoniem]

Bedankt! Ik zal meteen ff de tool downloaden, want het virus is weer terug, en nu als winksjx.exe, weer een verborgen systeembestand in de system directory. Deze is volgens mij binnengekomen via MSN, toen ik me wilde aanmelden begon hij weer flink te pruttelen en te downloaden maar aanmelden ho maar... En tsja, virussscanner, ik heb altijd een hekel aan die dingen gehad, zelf heb ik er nog maar 1 maal last van gehad (het Tsjernobyl-virus nog voor dat het het Tsjernobyl-virus was :wink:) dus ik maak me er niet zo druk om. Verder was ik niet geheel wakker en het mailtje klopte gewoon, daarom dacht ik er niet bij na dat het een virus zou kunnen zijn, want er zat een verwijzing bij naar een bestaande website en een 'geluidsbestandje' zoals je die daar ook zou kunnen downloaden. Alsie nog mariacarey.jpg.pif heette, dan krijg ik wel argwaan, maar deze was dus ietsie geraffineerder. Maar goed, staat genoteerd: noppes nooit een .pif bestand. Ik dacht toen ik het opende dat het werkelijk een audiobestand was... domme ik. BTW, het bestandje was dus gedownload vanaf webmail (dolfijn), heeft hij nu ook via Outlook Express iedereen een mailtje gestuurd? Hij was wel heftig aan het pruttelen, dus hij moet wel IETS gedaan hebben. Als dat zo is, dan mail ik wel ff iedereen in m'n moeders adresboekje.

[anoniem]

W32.Klez.gen@mm is a mass-mailing worm that searches the Windows address book for email addresses and sends messages to all recipients that it finds. The worm uses its own SMTP engine to send the messages. Dus ik zou maar even gaan waarschuwen .... (maar eerst het ding verwijderen voor je weer online gaat). [ Dit bericht is bewerkt door: BrigitteW op 2002-04-27 12:16 ]

[anoniem]

Hee bedankt! Yep, 5 virusbestanden & 9 geinfecteerde bestanden... Leuk dat je verwijderprogramma's kan downloaden, trouwens... En gelukkig staan nagenoeg alle adressen van m'n moeder bij webmail accounts, dat scheelt weer schade.